Resté informé de notre actualité

Flash juridique : Assurances et Cyberattaques – Evolution du cadre juridique et impacts

par crfassurances | Juin 12, 2023 | CRF Juridique

Article L. 12-10-1 du Code des assurances issu de l’article 5 de la loi LOPMI

Face à la multiplication des cyberattaques et aux débats relatifs à l’assurabilité des risques cyber, notamment des rançongiciels, le législateur est récemment intervenu pour fixer un cadre juridique spécifique pour l’assurance des risques de cyberattaques.

La Loi d’Orientation et de Programmation du Ministère de l’Intérieur n°2023-22 du 24 janvier 2023 (« LOPMI ») portant sur la transformation numérique et la lutte contre la cybercriminalité a inséré dans le Titre II du Livre Ier du Code des assurances un Chapitre X intitulé « L’assurance des risques de cyberattaques » constitué par l’article L. 12-10-1.

Le nouvel article L. 12-10-1 du Code des assurances, qui est entré en vigueur le 24 avril 2023, pose le principe de l’assurabilité des risques de cyberattaques, y compris des rançongiciels, et fait peser une nouvelle obligation sur l’assuré en subordonnant le versement de l’indemnité d’assurance prévue par le contrat au dépôt d’une plainte par l’assuré dans un délai de 72h maximum à compter du moment où il a connaissance de la cyberattaque.

Le dépôt de plainte dans le délai légal devient donc une étape obligatoire et préalable à la mise en oeuvre de vos garanties cyber.

Contenu et portée de la nouvelle obligation

Dans le cadre de leur activité professionnelle, les assurés (1) couverts par des garanties d’assurance cyber (2) qui subissent une cyberattaque (3) doivent désormais, pour pouvoir être indemnisés de leurs dommages et pertes (4), déposer plainte auprès des autorités compétentes, au plus tard 72h après la découverte de la cyberattaque (5).

(1) Assurés personnes physiques ou morales dans le cadre de leur activité professionnelle

Les assurés concernés par la nouvelle obligation sont les personnes morales et les personnes physiques qui subissent une cyberattaque dans le cadre de leur activité professionnelle.

(2) Garanties d’assurance cyber

La nouvelle obligation s’applique aux assurés qui bénéficient de couvertures d’assurance cyber au travers d’une police cyber spécifique ou d’une police d’assurance comportant des garanties cyber, qu’il s’agisse de couvertures affirmatives ou dites « silencieuses » (par exemple, une police fraude couvrant la malveillance informatique, une police dommages aux biens couvrant les dommages matériels et les pertes d’exploitation consécutifs à une cyberattaque).

Les dispositions de l’article L. 12-10-1 du Code des assurances sont applicables aux garanties cyber présentes dans les contrats d’assurance soumis au droit français. Les filiales à l’étranger sont donc soumises à l’obligation de dépôt de plainte lorsqu’elles bénéficient d’une couverture cyber souscrite par leur maison mère en France ou lorsqu’elles sont intégrées dans un programme international et sollicitent l’application des garanties de la police Master.

(3) Cyberattaque : atteinte malveillante au système d’information

La cyberattaque est définie comme étant toute atteinte à un système de traitement automatisé de données (qu’elle soit accompagnée ou non d’une demande de rançon), correspondant à une infraction visée aux articles 323-1 à 323-3-1 du Code pénal, à savoir :

l’accès ou le maintien frauduleux dans un système de traitement automatisé de données
l’altération du fonctionnement d’un système de traitement automatisé de données, son entrave ou le fait de fausser son fonctionnement
l’introduction frauduleuse de données dans un système de traitement automatisé de données ou l’extraction, la détention, la reproduction, la transmission, la suppression ou la modification frauduleuse de données qu’il contient

Les évènements garantis par les polices cyber, lorsqu’ils sont susceptibles de relever de l’une des infractions pénales visées aux articles 323-1 à 323-3-1 du Code pénal, devront donc faire l’objet d’un dépôt de plainte, notamment :

une intrusion dans le système d’information
une attaque par déni de service (attaque de type DDOS…)
une attaque par logiciel malveillant ou malware
une attaque par rançongiciel ou ransomware (chiffrement de données et demande de rançon en échange d’une clé de déchiffrement des données)

En revanche, les atteintes non intentionnelles au système d’information résultant d’erreurs humaines ou d’accidents ne sont pas soumises à l’obligation de dépôt de plainte.

(4) Dommages et pertes causés à l’assuré

Les garanties impactées sont celles qui couvrent les « pertes et dommages » de l’assuré résultant d’une cyberattaque.

Il peut s’agir notamment :

des frais de réponse à incident (frais d’experts informatiques, frais d’avocats, frais de notification à la CNIL et aux personnes concernées en cas de violation de données personnelles, frais de consultants en communication…)
des frais de remédiation (frais de restauration du système d’information, frais de reconstitution des données…)
des conséquences financières directes subies par l’entreprise (frais de défense en cas d’enquête administrative, pertes d’exploitation, frais supplémentaires d’exploitation…)
des coûts spécifiques liés à une demande de rançon (frais de consultant, paiement de la rançon)

En principe, le consultant cyber référent que les assureurs mettent à disposition des assurés dans les polices cyber via une ligne accessible 24h/24 et 7jours/7 pour les assister dans la mise en œuvre des mesures d’urgence, pourra toujours être contacté par les assurés sans attendre le dépôt de plainte.

Quant aux garanties responsabilité qui pourraient être actionnées (essentiellement le volet RC des polices cyber) en cas de réclamation d’un tiers à la suite d’une cyberattaque qui lui aurait causé un préjudice, la couverture des dommages-intérêts ne devrait pas être subordonnée au dépôt de plainte préalable. Il est cependant préférable pour les assurés de déposer plainte dans le délai légal pour protéger leurs intérêts, notamment en ce qui concerne la prise en charge des frais de défense exposés dans le cadre de la réclamation du tiers.

(5) Délai : 72h à compter de la connaissance de la cyberattaque par l’assuré

Le délai de 72 heures court à compter de la connaissance par l’assuré de la cyberattaque impactant son système d’information.

Aucune précision n’est donnée quant aux critères à prendre en compte pour considérer un assuré comme ayant connaissance d’une cyberattaque.

L’assuré doit donc déposer plainte dès qu’il a connaissance de l’évènement, et au plus tard dans les 72 heures, sans attendre de connaître l’ampleur des conséquences, pertes ou dommages.

Sanction en cas de non-respect de l’obligation

En l’absence de dépôt de plainte dans le délai imparti, l’assuré ne pourra pas bénéficier des garanties prévues par le contrat d’assurance et être indemnisé de ses dommages et pertes causés par une cyberattaque.

Les dispositions de l’article L. 12-10-1 du Code des assurances sont d’ordre public, dès lors qu’elles sont insérées au sein du Livre Ier du Code des assurances (article L. 111-2 du Code des assurances).

Aucune dérogation ne sera possible, ni au moment de la mise en place ou du renouvellement de la police, ni après la survenance du sinistre, l’assureur devant impérativement décliner sa garantie si la nouvelle obligation n’est pas respectée par l’assuré.

Entrée en vigueur de la nouvelle obligation

Les dispositions de l’article L. 12-10-1 du Code des assurances s’appliquent automatiquement à compter du 24 avril 2023 aux contrats d’assurance en cours ou aux nouveaux contrats d’assurance souscrits après cette date, peu importe qu’elles soient ou non reproduites ou rappelées dans le contrat d’assurance.

Nos recommandations

Prendre connaissance avec attention des nouvelles dispositions issues de l’article L. 12-10-1 du Code des assurances qui ont un réel impact sur la couverture de vos risques liés aux cyberattaques et sur le versement de l’indemnité d’assurance en cas de sinistre
Sensibiliser vos équipes (DSI, RSSI, Risk managers, Responsables assurances, Responsables juridiques, DPO…) et vos prestataires informatiques sur l’impact de ces nouvelles dispositions et la nécessité de vous alerter immédiatement dès qu’une cyberattaque est détectée afin que vous puissiez effectuer le dépôt de plainte dans le délai imparti
Informer l’ensemble de vos entités concernées par la nouvelle obligation, notamment celles qui sont couvertes par l’assurance cyber que vous avez souscrite, qu’elles soient basées en France ou à l’étranger, et celles qui sont intégrées dans le cadre d’un programme international que vous avez mis en place
Préparer un modèle de dépôt de plainte avec la liste des pièces qui seraient utiles pour documenter la plainte ; prévoir les éventuels pouvoirs en amont ; identifier les autorités compétentes pour recevoir la plainte et renseigner leurs coordonnées
Adapter vos procédures pour y intégrer l’obligation de dépôt de plainte dans le délai légal

Que faire en cas de Cyberattaque ?

En cas de cyberattaque affectant votre système d’information, nous vous recommandons de prendre contact immédiatement avec les interlocuteurs suivants :

Votre courtier

par téléphone sur la ligne de votre contact habituel ou au standard : 01.55.46.80.60
par mail : sinistres@crfassurances.com

Le consultant cyber référent via la ligne d’urgence mise en place par l’assureur, dont le numéro figure sur votre police d’assurance.

Notre équipe se tient à votre disposition pour passer en revue vos assurances couvrant les conséquences d’une cyberattaque, ou vous proposer une consultation en vue de vous protéger sur ces risques accrus.

N’hésitez pas à vous rapprocher de votre Directeur de Clientèle.

Bonne lecture !

Alexandre Pavlov – Référent Technique Cyber CRF Assurances – A howden company

Clarence Lefort – Responsable Juridique & Sinistres CRF Assurances – A howden company

A propos de CRF Assurances – A howden company

Depuis 1999, CRF Assurances – Courtiers d’Assurances Experts – accompagne les entreprises dans la gestion de leurs risques financiers et de leurs sinistres. CRF Assurances négocie des solutions d’assurances dédiées aux Institutions Financières, Sociétés Commerciales – cotées ou non, Startup, PME, ETI – et Incubateurs en Assurances de Responsabilités, Risques Financiers et Essais Cliniques, Dommages aux Biens et Assurances de Personnes. En juillet 2022, CRF Assurances rejoint Howden France, filiale du groupe international de courtage en assurance.

85, rue Edouard Vaillant | 92300 Levallois Perret | Tel +33 (0)1 55 46 80 60| contact@crfassurances.com

← Voir article précédent

Contactez-nous



01 55 46 80 60



Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.